Riskhantering är den process ett företag går igenom för att identifiera, bedöma och prioritera risker. Under en riskhanteringsrevision kommer företaget att anställa antingen en intern eller extern person för att granska de riskhanteringssteg som ett företag har vidtagit. Revisorer kommer att granska specifika riskhanteringsplaner för att säkerställa att de är relevanta, aktuella och effektiva. Företag kommer att använda revisioner som en del av riskhanteringsprocessen för att säkerställa att planen eller procedurerna inte blir inaktuella om de inte används ofta.
Genom att separera riskhanteringsfunktionen från riskhanteringsrevisionen kan ett företag ha ett andra par ögon för att granska riskhanteringsplaner. Detta skapar också en naturlig segregering av arbetsuppgifter inom företaget. Att separera arbetsuppgifter säkerställer att en anställd inte har för mycket ansvar eller kontroll över en intern affärsfunktion. En annan fördel med denna separation är att säkerställa att flera anställda har kunskap om ett företags riskhanteringsplan. Detta säkerställer att frånvaron av en anställd inte skapar en risk i sig själv eller inom organisationen.
Att använda en extern revisor för riskhanteringsrevisionen kan ytterligare förbättra denna process för att säkerställa att företaget har skapat en adekvat plan för riskhantering. Företag i vissa branscher kan också dra nytta av en extern revisors kunskap om en bransch och förmåga att ge förslag på översyn av riskhanteringsplanen. Företag som behöver certifiering från en extern byrå kommer också att dra nytta av en extern riskhanteringsrevision. Till exempel kan företag som söker pengar från banker eller långivare behöva tillhandahålla en revisors utlåtande som beskriver företagets plan för att hantera och undvika risker.
Riskhanteringsrevisionsprocessen följer vanligtvis några grundläggande steg, även om revisioner vanligtvis är individuella för varje företag. Revisionen kommer att inledas med ett möte för att diskutera revisionens omfattning och fastställa vilka risker företagets ledningsgrupp anser är farligast för företaget. Efter detta inledande möte kommer revisorerna att utarbeta en skriftlig plan för att välja ett urval och testmetoderna för att fastställa hur effektiv företagets riskhanteringsplan verkar vara jämfört med möjligheten för varje risk.
Att genomföra en revision är vanligtvis inte en frekvent process. Revisioner är både långa och dyra, vilket är två betydande nackdelar med denna process. De flesta företag gör en informell granskning av sin riskhanteringsplan internt. Formella revisioner representerar en årlig eller halvårsvis händelse som gör att företaget kan genomgå en grundlig granskning. De flesta gånger kommer denna revision att vara skild från företagets finansiella revision, eftersom rutinerna är olika för varje typ av revision.